Ende Juli 2025 hat Arctic Wolf eine Zunahme von Ransomware-Aktivitäten festgestellt, bei denen Sonicwall-Firewall-Geräte als Einstiegsstellen genutzt wurden. In den analysierten Fällen wurden innerhalb kurzer Zeit mehrere sogenannte „Pre-Ransomware“-Intrusionen mit Zugang über Sonicwall-SSL-VPNs durchgeführt.
Obwohl Angriffe auf Basis kompromittierter Zugangsdaten nicht in allen Fällen ausgeschlossen werden können, deuten die vorliegenden Hinweise auf eine Zero-Day-Schwachstelle in Sonicwall-Geräten hin. Auffällig ist, dass auch vollständig gepatchte Sonicwall-Geräte nach einem Austausch von Zugangsdaten betroffen waren. Selbst in Fällen, in denen eine Multi-Faktor-Authentifizierung (MFA) aktiviert war, wurden Accounts kompromittiert.
Mit der Akira-Ransomware in Verbindung stehende Bedrohungsakteure wurden bei „Hands-on-Keyboard“-Angriffen, also manuell von Cyberkriminellen ausgeführte Attacken, die nicht auf automatisierten Skripten oder Befehlen basieren, in Umgebungen beobachtet, in denen Sonicwall-SSL-VPN-Zugänge kompromittiert wurden. Bereits im vergangenen Jahr stellte Arctic Wolf ähnliche Aktivitäten gegen Sonicwall-SSL-VPNs fest, die mit der Ausnutzung der Schwachstelle CVE-2024-40766 in Verbindung gebracht wurden. Typischerweise verweilen Ransomware-Akteure in solchen Fällen nach dem Erstzugriff nicht lange im betroffenen Netzwerk und setzen ihre Angriffe zügig um. Und da sie meist opportunistisch vorgehen, geraten Organisationen unterschiedlichster Größen ins Visier.
Bereits im vergangenen Jahr prognostizierte Arctic Wolf, dass die Ausnutzung von Schwachstellen in Edge-Geräten – insbesondere Firewalls und VPN-Gateways – weiterhin zunehmen würde. Diese Entwicklung hat sich bestätigt: Ransomware-Gruppen nutzen zunehmend automatisierte Massenangriffe auf Softwareschwachstellen, um sich einen ersten Zugriff zu verschaffen.
#ArcticWolf
